随着计算机和网络技术的不断发展,使得高速列车运行控制系统(简称高速列控系统)的功能更加复杂、交互更加频繁,同时也给系统的危险分析带来巨大挑战。而目前应用的基于头脑风暴、人工辨识的传统方法难以保证危险场景识别的全面性和危险致因分析的准确性。因此,为了分析高速列控系统中存在的危险及危险致因,本文提出了基于STPA-SPN的危险分析方法。论文主要工作及创新点如下:(1)从危险分析方法所基于的事故模型理论角度,对铁路领域典型危险分析的典型方法及其应用情况进行归类整理,分析了各类方法对高速列控系统的适用性,总结了各类方法的优缺点。通过比较发现基于系统观的STPA方法更适应高速列控系统的技术特征和发展趋势,但该方法在工程应用方面还存在一些缺陷。(2)针对STPA方法中控制缺陷分类比较笼统的问题,论文提出了面向高铁列控的控制缺陷类型。依据高速列控系统的故障统计数据,归纳整理了列控设备的组件级故障模式。并进一步根据列控设备在控制回路中的作用抽象出控制回路的缺陷类型,用于辅助后续致因分析。此外,针对STPA方法在应用于列控系统危险分析时缺失工具进行辅助的问题,对STPA工具进行了设计和开发。(3)针对STPA方法中未给出顶层危险规范描述方式以及缺失用于顶层危险场景识别的指导方法的问题,论文提出了基于外部交互场景的顶层危险辨识方法。基于系统危险的多变性,多样性的特点,按照运营过程划分列控系统的工作场景,提取各种场景下列控系统与外界的交互活动,辨识系统可控的异常交互行为作为顶层危险,并给出了系统危险的描述方式。通过对工作场景的遍历保证顶层危险的全面性,使得危险场景的识别过程更加合理、完整。(4)针对STPA迭代过程中对复杂系统描述能力不足、危险致因分析缺失工具辅助的问题,提出了 STPA-SPN危险分析方法,并阐述了方法的应用流程。首先定义了系统层级的危险和安全约束,然后通过STAMP模型中的分层控制结构框图和过程模型对系统进行描述,应用STPA方法对不安全控制行为进行辨识;在架构阶段,用SPN模型描述场景中涉及的工作流程和控制逻辑;在危险分析阶段,基于SPN模型可达图和状态矩阵,分析危险的致因;最终提出了相应的安全需求。最后,应用STPA-SPN方法对高速列控系统进行了危险分析,以临时限速和区间占用检查两个典型场景为例,得到了不安全控制行为和危险致因,并提出了相应的安全需求。